BUSINESS BYTES

Hvordan kan IT-direktører finne en balanse mellom redusert sikkerhet og akseptert risiko?

  • Publisert 1 år siden
  • 3 min. lest

I henhold til den siste rapporten fra Gartner, CIO Insights Agenda Report, er investeringsprioritetene til IT-direktører i endring. Sikkerhet har nylig gått nedover på listen over de høyeste prioriteringene i favør av analyse, forretningsintelligens, infrastruktur, nettsky og mobil. Ved første øyekast er dette forståelig – det er langt mer logisk for virksomheter å foreta investeringer i områder som vil gi dem en høy eller umiddelbar avkastning. Informasjonssikkerhet har aldri vært et av disse områdene. Det å bruke mer penger på tradisjonell beskyttelse – som brannmurer, e-postsikkerhetsverktøy og nettfiltrering, gjør det altfor lett for å se sikkerhet som en forebyggende investering i motsetning til en håndgripelig fordel.

Men dette er ikke nødvendigvis en dårlig tilnærming til nett-trusler. Som Gartners figurer viser, forstår mange IT-direktører allerede at en mer nyansert tilnærming til sikkerhet kan være en mer effektiv måte å håndtere risiko på lang sikt. I praksis begynner denne tilnærmingen med en klarere forståelse av nettsikkerhetsrisikoer og hva de egentlig kan bety for en virksomhet.

Sikkerhetsprofesjonelle skal anse seg selv som tilretteleggere for virksomheten, som er til stede fra begynnelsen og prøver å beskytte de viktigste aktivaene før og etter brudd. Men informasjonssikkerhetsrisikoer skal ses på som håndterbare og ikke som et større problem enn andre former for forretningsrisikoer. Med andre ord, sikkerhetsrisikostyring krever aksept av at visse risikoer alltid vil vedvare og visse brudd alltid vil finne sted. Derfor bør virksomheter ha en strategi på plass for håndtering av disse når de forekommer. I stedet for å fokusere på trusselreduksjon, fokuserer mange IT-direktører i dag på trusselutdanning.

Det første tiltaket for å styre risiko er å forstå den. Derfor er det første tiltaket for effektiv risikostyring å identifisere umiddelbar risiko for virksomheten og lære opp styret og de overordnede om hva disse er og hva de kan bety. Effektiv risikostyring er alles ansvar. Et datainnbrudd kan føre til stor økonomisk og omdømmeskade og CxO-er (Chief Experience Officer) og bransjeansatte skal forstå potensielle kostnader og sannsynlige tiltak ved en eventuell lekkasje.

Noen foretak bruker hendelses- eller krisesimulering for å hjelpe med dette. Dette avslører ikke bare eventuelle uoversiktlige områder, men kan også gjøre teamet mer selvsikkert og bedre forberedt på brudd hvis de oppstår.

Det andre tiltaket er å forstå at risikostyring ikke stopper bare fordi du har en avtalt responsmetode. Etter hvert som nett-trusselen utvikler seg, skal også styring og retningslinjer som er knyttet til den, utvikles. Mens en seniorleder skal lede forsøk på å endre risikostyringsstrategien, skal alle i virksomheten bidra med forslag og bidra til å skape de best mulige håndteringsmekanismene. Husk at den brede forretningsstrategien kan endres raskt. Vekst i nye markeder kan føre til nye økonomiske og informasjonsrisikoer. Bruk av digital teknologi, som for eksempel sosiale medier og skyen, kan også ha en innvirkning. Risikostyringsstrategien må skaleres med virksomhetens appetitt for vekst.

Til slutt må du vurdere det faktum at risikoappetitten mellom forretningsenhetene kan variere mye. Av denne grunn må sikkerhetsretningslinjer gi rom for aksept av en viss risikomengde for å bevare samholdet i organisasjonen. Sikkerhetsbrudd kan og vil skje, og akkurat like viktig som å forebygge det, er å ha en avtalt prosess for å håndtere det når det oppstår, basert på en forståelse av hva det innebærer.  Risikostyring bør være en del av et helhetlig program for å vurdere risikoappetitt, ta i bruk risikostyringsprinsipper og til slutt, informere virksomheten om at realisering av en risiko ikke er en svikt, men en validering av en avtalt prosess.